Общий регламент ЕС по защите данных (GDPR) для российских компаний в 2025.

Кого и как касается?

Российские и СНГ-компании сталкиваются с новой реальностью: международные рынки требуют соблюдения GDPR, платформы не публикуют приложения без понятных и прозрачных документов об использовании персональных данных, что ведет к потере доступа к иностранной аудитории. Разбираем риски.

GDPR касается всех, кто работает с европейскими пользователями

Кого затрагивают международные требования:

• РФ и СНГ компании, планирующие работу на нескольких рынках одновременно
• Студии разработки игр (ПК и мобильные игры), дистрибуцирующие продукты в ЕС
• Мобильные приложения с международной аудиторией
• ИТ-продукты (облачные сервисы, образовательные технологии, финтех) для глобального рынка

Тренд ужесточения:
Регуляторы переходят от предупреждений к реальным санкциям. По информации из открытых источников, за период действия GDPR в ЕС общая сумма штрафов достигла € 5.88 млрд по состоянию на январь 2025 года.
Но проблема не только и не столько в штрафах регуляторов. Основные сложности возникают
при взаимодействии с платформами для дистрибуции — Steam, App Store, Google Play и т. д.

Как несоответствие требованиям влияет на дистрибуцию
Статистика отклонений в App Store:
Apple отклоняет около 40% приложений при первичной публикации. Среди основных причин — нарушения политики конфиденциальности и отсутствие корректных пользовательских соглашений.

Требования платформ:

• App Store: обязательное заполнение раздела сведений о конфиденциальности (App Privacy Details)
• Google Play: обязательное заполнение раздела о безопасности данных (Data Safety Section)

Без этих разделов модерацию не пройти

Влияние на ранжирование:
Алгоритмы современных сторов учитывают комплайенс при ранжировании. Приложения с прозрачными политиками получают преимущество в поиске и рекомендациях.

🇪🇺 Европейские пользователи:
Исследования показывают, что европейские пользователи избегают приложений без ясной политики конфиденциальности, что влияет на удержание пользователей и конверсию.

Особенности применения GDPR:
Принцип таргетинга GDPR применяется при активном таргетинге на европейскую аудиторию
через рекламу или локализацию. Адаптация под локальное законодательство рекомендуется
также при получении значительной части органического трафика  из ЕС (ориентировочно 5%+).
Законодательство некоторых стран требует размещения документов по обработке ПД на местном языке:

• Локализация обязательна: в России, Франции, Индонезии и некоторых иных странах
• Желательна: в Бразилии, Филиппинах и некоторых иных странах при активной работе

США: мозаика требований вместо единого стандарта
Основная сложность: В США отсутствует единый федеральный закон о персональных данных, аналогичный европейскому GDPR.

Структура американского регулирования:

• Федеральные отраслевые законы: COPPA (дети), HIPAA (медицина), FERPA (образование)
• Законы штатов: каждый штат может принять собственное регулирование
• Калифорния как ориентир: CCPA (2018) и CPRA (2023) влияют на другие штаты

Практические последствия:

• Финтех попадает под банковское регулирование штатов
• Сервисы в сфере образовательных технологий (EdTech) должны соответствовать установленным образовательным стандартам.
• Медицинские технологии подчиняется медицинским требованиям
• Детские приложения обязаны соблюдать федеральный закон в этой сфере

Рекомендация: Начинать с соответствия калифорнийским стандартам как базовому уровню.

Комплайенс как конкурентное преимущество

Что получают GDPR-готовые компании:

• Качество аналитических данных

Правильно полученные согласия обеспечивают более качественную аналитику — данные собираются от заинтересованных пользователей, а не случайного трафика.

• Архитектурные улучшения

Требование privacy by design («конфиденциальность по умолчанию и при проектировании») обязывает закладывать защиту данных уже на уровне архитектуры продукта, за счёт чего он становится более надёжным и масштабируемым.

• Доверие пользователей

Прозрачность в обработке данных повышает доверие, особенно среди европейских пользователей, которые более чувствительны к вопросам приватности.

• Партнерские возможности

Международные партнеры, инвесторы, рекламные сети часто требуют подтверждения соответствия GDPR как условие сотрудничества. В некоторых случаях раздел о защите данных включается в состав отчётов по правовой проверке бизнеса (due diligence).

• Приоритет в размещении

Некоторые европейские платформы и каталоги отдают предпочтение сертифицированным по GDPR решениям при прочих равных условиях.

Поэтапный подход к международным требованиям
Реальность:
Невозможно сразу соблюдать требования всех стран мира в области персональных данных — они кардинально различаются. Нужен системный подход.
Поэтапная адаптация:
1. Базовый минимум:

• Полное соблюдение 152-ФЗ + уведомление РКН
• Политика конфиденциальности на русском языке
• Политика конфиденциальности на английском с понятным описанием процессов

2. При дистрибуции через платформы:

• App Privacy Details для Apple
• Data Safety Section для Google

Без корректного заполнения этих разделов публикация затруднена

3. При активном выходе на новый рынок требуется предварительная адаптация под местное законодательство:

• При активной онлайн и офлайн маркетинговой компании
• При таргетированной рекламе в конкретной стране
• При переводе интерфейса на местный язык

4. Реактивная адаптация - ориентируемся на пользователей:

• Мониторинг географии пользователей как регулярная практика
• При получении +5% трафика из новой юрисдикции - оценка соответствия
• Рекомендуется оценить необходимость адаптации под местные требования

Крупнейшие документированные санкции GDPR
Топ-5 штрафов по GDPR:

1. Meta* — €1.2 млрд (май 2023) Штраф за трансграничную передачу данных европейских пользователей в США без адекватных механизмов защиты.
2. Amazon — €746 млн (июль 2021)
Нарушения в системе рекламного таргетинга без должного согласия пользователей.
3. Meta* (Instagram*) — €405 млн (сентябрь 2022)
За неправильную обработку персональных данных подростков 13-17 лет.
4. Meta* (Facebook*/Instagram*) — €390 млн (январь 2023)
За принуждение к согласию через изменение условий использования.
5. TikTok — €345 млн (сентябрь 2023) За нарушения при обработке детских персональных данных.

Статистика по отраслям:
Наибольшее количество GDPR-штрафов в Европе получили: Здравоохранение (15,5%), Телекоммуникации (14,9%), Госорганы (13,7%), Финансы (13,1%).
Тренд: Регуляторы теперь штрафуют не только крупные корпорации, но и средние компании в различных секторах экономики.

Самые дорогие ошибки при выходе на зарубежные рынки
1. Некорректные баннеры для получения согласия на использование технологий отслеживания (cookie‑баннеры) — одна из основных причин штрафов.

• Предустановленные галочки согласия
• Принуждение к согласию для доступа к сайту
• Отсутствие возможности легко отозвать согласие

2. Детские данные (критично для разработчиков игр)

• Сбор данных детей без верификации возраста и согласия родителей
• Особенно рискованно для игр и образовательных приложений

3. Неправильная интеграция с аналитикой

• Google Analytics, Facebook* Pixel без соответствующих уведомлений (* — Instagram (принадлежит компании Meta, признанной экстремистской и запрещённой на территории РФ)
• Передача данных в США без Adequacy Decision (решения Еврокомиссии об адекватном уровне защиты)
• Отсутствие для пользователей возможности отказаться от отслеживания и обработки данных

4. Игнорирование запросов пользователей

• Отсутствие функции удаления аккаунта
• Превышение 30-дневного срока ответа на запросы
• Отказ в предоставлении данных пользователю

5. Неучтенная география пользователей

• «Не планировали работу в ЕС» не освобождает от ответственности
• Получение значительного трафика из регулируемых юрисдикций требует адаптации

Данная информация носит общий характер и не является юридической консультацией. В каждом конкретном случае необходима индивидуальная оценка. Для принятия решения рекомендуем проконсультироваться с юристом.